오늘날의 초연결 환경에서 보안 네트워크 경계에 대한 전통적인 개념은 빠르게 붕괴되고 있습니다. 국가가 후원하는 사이버 캠페인은 더 이상 먼 곳에 있는 위협이 아니며, 특히 정치적으로 민감하거나 전략적으로 중요한 분야에서 활동하는 조직에게는 지속적이고 만연한 위험이 되고 있습니다. 이러한 정교한 공격자들은 기존의 방어 체계를 우회하는 데 점점 더 능숙해지고 있으며, 합법적인 도구와 디지털 상호 작용에 대한 우리의 신뢰를 악용하여 환경에 침투하고 놀라운 은밀함으로 중요한 정보를 수집하고 있습니다.
아리아카 위협 연구소의 최신 연구는 지속적으로 진화하는 북한의 사이버 첩보 활동의 본질을 조명합니다. 지정학적, 군사적, 경제적 정보를 수집해야 하는 북한의 지속적인 전략적 필요성에 힘입어 APT43, 탈륨, 벨벳 촐리마 등 다양한 가명으로도 알려진 킴수키와 같은 그룹은 이 어두운 공간에서 매우 활동적이고 정밀한 활동가로 부상했습니다. 킴수키는 10년 넘게 한국 정부 기관, 방위산업체, 정책 싱크탱크를 대상으로 표적 정보 수집 작전을 수행해 왔습니다. 이러한 활동은 북한의 국제적 고립과 지속적인 제재를 고려할 때 특히 중요한 정치, 군사, 기술 정보를 획득하려는 북한의 장기 전략을 지원합니다.
이 킴수키 캠페인의 가장 큰 특징은 맞춤형 사회 공학과 매우 정교한 멀웨어 프레임워크의 뛰어난 조합입니다. 작전은 이러한 악성 LNK 파일을 전송하는 것으로 시작되며, 종종 공개적으로 사용 가능한 한국 정부 자료를 교묘하게 모방하여 합법성을 높이고 피해자가 파일을 열도록 유인하는 미끼 문서 안에 위장되어 있습니다. 이러한 바로 가기 파일을 클릭하면 고도로 난독화된 스크립트가 실행되며, 이 스크립트는 피해자의 컴퓨터에 이미 존재하는 신뢰할 수 있는 시스템 유틸리티를 통해 은밀하게 전달됩니다. 이 “땅속에서 살아가는” 기법은 멀웨어의 설치 공간을 크게 줄여 기존의 시그니처 기반 탐지를 우회하는 데 도움이 됩니다.
침투에 성공하면 멀웨어 프레임워크가 작동하기 시작하며, 은밀성, 지속성, 포괄적인 데이터 유출을 위해 설계되었습니다. 광범위한 시스템 프로파일링을 수행하여 손상된 환경을 꼼꼼하게 분류하여 취약점과 잠재적인 데이터 저장소를 파악합니다. 그런 다음 주요 사용자 데이터와 독점 정보를 표적으로 삼아 자격 증명과 민감한 문서를 훔칩니다. 또한 이 멀웨어는 정보 수집을 극대화하기 위해 키로깅과 클립보드 캡처를 통해 사용자 활동을 모니터링하여 민감한 데이터를 지속적으로 수집합니다. 마지막으로, 탐지를 피하기 위해 훔친 데이터의 유출은 표준 웹 트래픽을 통해 은밀하고 작은 세그먼트에서 이루어지기 때문에 네트워크 모니터링 도구가 악성 활동을 정상적인 네트워크 운영과 구별하기가 매우 어렵습니다. 이러한 다층적 접근 방식은 킴수키의 진화하는 정교함과 조직에 대한 지속적인 위협을 강조합니다.
이 보고서는 이 캠페인을 킴수키의 작전이라는 더 넓은 맥락에 놓음으로써 북한의 사이버 활동이 국가와 연계된 더 큰 전략의 일부임을 보여줍니다. 일부 작전에는 암호화폐 지갑 탈취와 같은 금전적 동기가 있는 행동도 포함되지만, 이러한 활동은 여전히 광범위한 국익을 위한 것입니다. 킴수키의 캠페인은 전통적인 의미의 사이버 범죄 활동의 기회주의적이거나 이익 중심적이라기보다는 지속적이고, 표적이 명확하며, 정권의 지정학적, 경제적 목표와 전략적으로 연계되어 있습니다.
클라우드 도입, 원격 근무, 상호 연결된 공급망의 증가 등 기업 환경이 점점 더 분산됨에 따라 기존의 경계 기반 방어로는 더 이상 충분하지 않습니다. 이 백서에서는 제로 트러스트 및 보안 액세스 서비스 에지(SASE)와 같은 최신 ID 중심 보안 모델이 시급히 필요하다는 점을 강조합니다. 이러한 모델은 킴수키와 같은 정교한 국가적 위협을 방어할 수 있는 가시성과 제어 기능을 제공하며, 이러한 전략 도입의 시급성과 중요성을 강조합니다.
여기에서 위협 연구 보고서 전문 읽기